CJUE : le placement de cookies requiert le consentement actif des internautes

Après avoir tranché deux cas concernant le droit à l’oubli applicable aux moteurs de recherche (voir cet article), la Cour de justice de l’Union européenne (CJUE) vient de rendre son jugement (C-673/17) dans une affaire concernant l’obligation d’obtenir le consentement pour le placement de cookies sur les terminaux des internautes.

Cadre juridique
Ce jugement concerne l’application de

la directive 2002/58 du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ou directive vie privée et communications électroniques),
la directive 95/46 du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données,
et, bien qu’il ne fût pas applicable à l’époque du renvoi préjudiciel, du règlement (UE) 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données, RGPD).

Faits
Le 24 septembre 2013, Planet49 a organisé un jeu promotionnel sur le site web www.dein-macbook.de. Les internautes souhaitant participer à ce jeu devaient communiquer leur code postal, ce qui les dirigeait vers une page web sur laquelle ils devaient inscrire leurs nom et adresse. Sous les cases à remplir pour l’adresse se trouvaient deux mentions, accompagnées de cases à cocher. La première mention, dont la case n’était pas cochée par défaut, indiquait :

J’accepte que des sponsors et partenaires m’informent par voie postale, par téléphone, par courrier électronique ou par message SMS de promotions dans leur domaine d’activité respectif. Je peux les déterminer ici moi-même faute de quoi l’organisateur les sélectionnera. Je peux revenir à tout moment sur mon acceptation. Pour plus d’informations à ce sujet, ici.

La seconde mention, dont la case était cochée par défaut, se lisait comme suit :

J’accepte que le service d’analyse du web Remintrex soit mis en œuvre chez moi. En conséquence, l’organisateur du jeu promotionnel, [Planet49], installera des cookies après avoir été agréé pour le jeu promotionnel, ce qui lui permettra d’exploiter par Remintrex mes navigations sur le web et mes visites sur les sites web des partenaires publicitaires et d’adresser de la publicité centrée sur mes intérêts. Je peux supprimer les cookies à tout moment. Lire les détails ici.

Il n’était possible de participer au jeu promotionnel qu’après avoir coché, à tout le moins, la première case.

Le Bundesverband der Verbraucherzentralen und Verbraucherverbände (fédération des organisations et associations de consommateurs, Allemagne) a mis en demeure le site web, sans réaction de celui-ci. Elle soutenait que les déclarations d’accord sollicitées par Planet49 au moyen des première et seconde cases à cocher ne remplissaient pas les conditions requises par les dispositions légales allemandes (code civil et loi contre la concurrence déloyale).

Après diverses procédures internes, la Cour fédérale de justice d’Allemagne a sollicité l’avis de la CJUE.

Jugement de la CJUE
1ère question d’intérêt
La CJUE devait répondre à plusieurs questions, notamment celle de savoir si le consentement est valablement donné lorsque le stockage d’informations ou l’accès à des informations stockées dans l’équipement de l’utilisateur est autorisé par une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement.

La CJUE commence par relever que la collecte d’informations réalisée par le site web est bien une collecte de données personnelles.

Elle rappelle aussi que selon la directive 2002/58, le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans le terminal d’un utilisateur n’est permis qu’à condition que l’utilisateur ait donné son accord, après avoir reçu une information claire et complète, entre autres sur les finalités du traitement. Cette directive ne contient pas d’indications concernant la manière dont cet accord doit être donné (“selon toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de manière spécifique et informée”).

Selon la directive 95/46, le consentement de la personne concernée est défini comme “toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données personnelles la concernant fassent l’objet d’un traitement”. Sur cette base, la CJUE confirme l’avis de son avocat général qui estimait que l’exigence d’une “manifestation” de volonté de la personne concernée évoque clairement un comportement actif et non pas passif et qu’un consentement donné au moyen d’une case cochée par défaut n’implique pas un comportement actif de la part de l’utilisateur d’un site web. Le consentement de l’utilisateur ne peut pas être présumé et doit résulter d’un comportement actif de ce dernier.

Fait intéressant, la Cour reconnait qu’il est pratiquement impossible de déterminer de manière objective si l’utilisateur d’un site web a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. Il ne peut être exclu que ledit utilisateur n’ait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’ait pas aperçu cette case avant de poursuivre son activité sur le site web qu’il visite.

En outre, le consentement doit être spécifique. Il doit porter précisément sur le traitement de données concerné et ne saurait être déduit d’une manifestation de volonté ayant un objet distinct. Ici, contrairement à ce que soutient Planet49, le fait pour un utilisateur d’activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies.

2ème question d’intérêt
Une autre question d’importance devait encore être tranchée : est-ce que le fait que les informations stockées ou consultées dans les cookies soient des données personnelles est déterminant pour savoir si le consentement de l’utilisateur doit être demandé ?

La réponse est clairement non. La CJUE estime que, comme la directive 2002/58 ne qualifie pas ces informations et ne fait ni référence à des données personnelles ou à des données non-personnelles, le fait que les informations stockées dans des cookies soient des données personnelles n’est pas une condition préalable à l’application de l’art. 5 al. 3 et de l’art. 2 let. f de la directive 2002/58. En d’autres termes, le consentement de l’utilisateur s’applique à tous les cookies qui stockent des informations, personnelles ou non, selon la disposition précitée.

L’équipement terminal de l’utilisateur d’un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisée qu’à des fins légitimes, et en étant portée à la connaissance de l’utilisateur concerné.

3ème question d’intérêt
La CJUE devait enfin indiquer si l’information que le fournisseur de services doit donner à l’utilisateur d’un site web inclut la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.

Selon l’avocat général de la CJUE, que cette dernière appuie ici, une information claire et complète doit permettre à l’utilisateur de déterminer facilement les conséquences du consentement qu’il pourrait donner et garantir que ce consentement soit donné en pleine connaissance de cause. Elle doit être clairement compréhensible et suffisamment détaillée pour permettre à l’utilisateur de comprendre le fonctionnement des cookies qui sont utilisés.

Dans la présente affaire où les cookies visent à recueillir des informations à des fins de publicité portant sur des produits des partenaires de l’organisateur d’un jeu promotionnel, la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies font partie de l’information claire et complète devant être fournie à l’utilisateur.

La CJUE justifie ce raisonnement en déclarant que l’information sur la durée de fonctionnement des cookies doit être considérée comme répondant à l’exigence d’un traitement loyal des données. En effet, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l’utilisateur sur les sites des partenaires publicitaires de l’organisateur du jeu promotionnel. Si la durée exacte ne peut être établie, les critères utilisés pour déterminer cette durée doivent être indiqués (cf. art. 13 RGPD).

Quant à la possibilité ou non pour des tiers d’avoir accès aux cookies, il s’agit d’une information comprise dans les informations mentionnées à l’article 13 RGPD, qui mentionne explicitement les destinataires ou les catégories de destinataires des données.

[Complément du 02.10.2019]
Certains cookies sont exemptés de l’obligation de consentement. La CNIL en donne certains exemples :

les cookies de “panier d’achat” pour un site marchand ;
les cookies “identifiants de session”, pour la durée d’une session, ou les cookies persistants limités à quelques heures dans certains cas ;
les cookies d’authentification ;
les cookies de session créés par un lecteur multimédia ;
les cookies de session d’équilibrage de charge (“load balancing”) ;
certaines solutions d’analyse de mesure d’audience (analytics) ;
les cookies persistants de personnalisation de l’interface utilisateur (choix de langue ou de présentation).